Падрыхтаваны выпуск кампактнай крыптаграфічнай бібліятэкі wolfSSL 5.1.0, аптымізаванай для выкарыстання на ўбудаваных прыладах з абмежаванымі рэсурсамі працэсара і памяці, такіх як прылады інтэрнэту рэчаў, сістэмы разумнай хаты, аўтамабільныя інфармацыйныя сістэмы, маршрутызатары і мабільныя тэлефоны. Код напісаны на мове Сі і распаўсюджваецца пад ліцэнзіяй GPLv2.
Бібліятэка дае высокапрадукцыйныя рэалізацыі сучасных крыптаалгарытмаў, уключаючы ChaCha20, Curve25519, NTRU, RSA, Blake2b, TLS 1.0-1.3 і DTLS 1.2, якія па заяве распрацоўшчыкаў у 20 разоў кампактней, чым рэалізацыі з OpenSSL. Прадастаўляецца як свой спрошчаны API, так і праслойка для сумяшчальнасці з API OpenSSL. Маецца падтрымка OCSP (Online Certificate Status Protocol) і CRL (Certificate Revocation List) для праверкі водгуку сертыфікатаў.
Асноўныя навіны wolfSSL 5.1.0:
- Дададзена падтрымка платформаў: NXP SE050 (з падтрымкай Curve25519) і Renesas RA6M4. Для Renesas RX65N/RX72N дададзена падтрымка TSIP 1.14 (Trusted Secure IP).
- Дададзена магчымасць выкарыстання алгарытмаў постквантавай крыптаграфіі ў порце для http-сервера Apache. Для TLS 1.3/3 рэалізавана схема лічбавых подпісаў NIST round XNUMX FALCON. Дададзены тэсты cURL, сабранага з wolfSSL у рэжыме прымянення криптоалгортимов, устойлівы да падбору на квантавым кампутары.
- У праслойку для забеспячэння сумяшчальнасці з іншымі бібліятэкамі і праграмамі дададзена падтрымка NGINX 1.21.4 і Apache httpd 2.4.51.
- У код для сумяшчальнасці з OpenSSL дададзена падтрымка сцяга SSL_OP_NO_TLSv1_2 і функцый SSL_CTX_get_max_early_data, SSL_CTX_set_max_early_data, SSL_set_max_early_data, SSL_get_max_early_data, SSL_CTX_cle early_data, SSL_write_early_data.
- Дададзена магчымасць рэгістрацыі callback-функцыі для замены ўбудаванай рэалізацыі алгарытму AES-CCM.
- Дададзены макрас WOLFSSL_CUSTOM_OID для генерацыі ўласных OID для CSR (certificate signing request).
- Дададзена падтрымка дэтэрмінаваных подпісаў ECC, уключаная максросам FSSL_ECDSA_DETERMINISTIC_K_VARIANT.
- Дададзены новыя функцыі wc_GetPubKeyDerFromCert, wc_InitDecodedCert, wc_ParseCert і wc_FreeDecodedCert.
- Ухілены дзве ўразлівасці, якім прысвоены нізкі ўзровень небяспекі. Першая ўразлівасць дазваляе ажыццявіць DoS-напад на кліенцкае прыкладанне падчас MITM-напады на злучэнне TLS 1.2. Другая ўразлівасць звязана з магчымасцю атрымання кантролю над аднаўленнем сеансу кліента пры выкарыстанні проксі на базе wolfSSL або злучэнняў, якія не правяраюць увесь ланцужок даверу ў сервернага сертыфіката.
Крыніца: opennet.ru